Pokud uživatel po instalaci kamery nepřijme žádná další bezpečnostní opatření, zařízení lze snadno zmanipulovat pomocí vzdáleného přístupu. Mnoho z nich spoléhá na snadno předvídatelné (či dokonce výchozí) přihlašovací údaje.
Jde především o několik typů oblíbených kamer: síťové kamery AXIS, Cisco Linksys webcam, IP Camera Logo Server, IP WebCam, IQ Invision web camera, Mega-Pixel IP Camera, Mobotix, WebCamXP 5 a Yawcam. Tisíce těchto zařízení po celém světě nejsou zabezpečené proti útokům – obsahují citlivá data, která patří jednotlivcům, institucím, rodinám i podnikům.
Společnost WizCase testuje a hodnotí nástroje a produkty související s kybernetickou bezpečností. Během testování zabezpečení jednotlivých kamer se dostala do rodinných domů (kuchyní, obývacích pokojů) i do kanceláří. Skrze kamery bylo možné pozorovat lidi, jak mluví do telefonu, nebo děti dívající se do objektivu – v reálném čase. Některé analyzované kamery poskytovaly přímý pohled do skladovacích prostor, kostelů, mešit, na tenisové kurty, do hotelů, na parkoviště, do posiloven i na mnoho dalších míst.
Kde se nezabezpečené kamery nejčastěji nacházely?
V průběhu studie byly lokalizovány kamery v následujících zemích: Argentina, Austrálie, Rakousko, Brazílie, Kanada, Francie, Německo, Itálie, Japonsko, Pákistán, Rusko, Španělsko, Švýcarsko, Velká Británie, USA a Vietnam.
Na základě technických informací nešlo určit vlastníka zařízení, experti však mohli využít kontext videí a administrativní přístup k odhalení uživatelských dat. Pak odhadli geolokaci kamery, ve vzácných případech se podařilo zjistit i majitele.
K čemu lze zranitelná zařízení využít?
Přihlašovací údaje a nastavení kamer mohou být kýmkoliv změněny. S jejich pomocí může útočník například sledovat lidi v jejich vlastním domě a pořizovat si jejich fotky. Zloději mohou snadněji naplánovat lepší strategii. Kdokoliv může získat podrobný přehled o životě běžných občanů (včetně případných nelegálních aktivit). Obchody mohou vzájemně sledovat konkurenci, získávat know-how i interní data a postupy. Osobní informace lze také zneužít ke krádeži identity.
Téměř v každém případě bylo možné zjistit detaily o modelu kamery a softwarové verzi. V závislosti na typu a verzi mohli experti ovládat ty kamery, ke kterým měli správcovské oprávnění. U některých to šlo dokonce bez něj. Leckdy bylo možné upravit úhel nebo pohled kamery podle preferencí útočníka.
Bohužel těchto případů bude pravděpodobně přibývat, protože lidé nadále připojují svá domácí zařízení k internetu, stejně tak společnosti přecházejí na Internet věcí (IoT), aniž by měly jakékoliv dovednosti a zkušenosti pro výstavbu takových systémů.
Některé servery a zařízení jsou záměrně přístupné veřejnosti. Dostupná data o nich by však měla být snížena pouze na nezbytné minimum, aby nemohlo dojít k jejich zneužití.
Jak se můžete chránit?
Nejlepší způsob, jak zabránit útokům na vaši kameru nebo jiné domácí zařízení připojené na IoT, je změna výchozího nastavení.
- Zadejte seznam povolených IP a MAC adres, které mohou ke kameře přistupovat. Tím budete filtrovat zařízení, která se připojí pomocí autorizovaného přístupu.
- Přidejte autentizaci heslem a změňte přednastavené přístupové údaje.
- Nakonfigurujte domácí VPN síť, ke které se budete připojovat při vzdáleném ovládání kamery. Zařízení bude tedy dostupné pouze v rámci VPN.
- Vybírejte si kameru s důrazem na její zabezpečení.
- Pokud ke komunikaci s kamerou využíváte P2P protokol, ujistěte se, že síťové protokoly UPnP jsou u vaší kamery zakázány.
Pokud nejste technicky zdatní, rozhodně konzultujte nastavení kamery se zkušeným odborníkem, který vám může pomoci.
Nevíte, jestli je vaše zařízení zranitelné? Zkuste jeho externí IP adresu naskenovat pomocí on-line skenerů, jako je například Shodan.io.
A v neposlední řadě by sami výrobci měli být morálně zodpovědní za zajištění bezpečnosti svých produktů. Je třeba, aby pro každé zařízení, které prodávají, vytvořili přísnější a individuální výchozí nastavení, která ochrání uživatele i jeho soukromí.
Zdroj: Wizcase, Darkreading
